第三十四章 在 Windows 上使用 IRIS(一)
在 Microsoft Windows 平台上管理 IRIS 数据平台实例非常简单。可以使用管理门户和 IRIS 启动器执行大多数任务。还可以从命令提示符控制 IRIS 实例。
本主题使用 install-dir 来指代 IRIS 安装目录——可以在安装指南的默认安装目录部分找到默认目录。
注意:不要对 IRIS IRIS.DAT 数据库文件使用 Windows 文件压缩。 (通过右键单击 Windows 资源管理器中的文件或文件夹并选择属性,然后选择高级,然后压缩内容以节省磁盘空间来压缩文件;压缩后,文件夹名称或文件名在 Windows 资源管理器中呈现为蓝色。)如果压缩一个IRIS.DAT 文件,它所属的实例将无法启动,并出现误导性错误。
管理对 IRIS 实例的访问
InterSystems 服务
所有 IRIS job和进程都从 InterSystems 服务、 IRIS Controller for <instance-name> 运行。 InterSystems 服务具有的权限由其关联的 Windows 用户帐户决定。当这是本地 SYSTEM 帐户时, IRIS 可以访问 Windows 系统上的所有文件和权限。为了维护一个更安全和限制性更强的环境,应该为服务选择一个仅具有所需权限和访问权限的 Windows帐户。
在正常安装和锁定安装中, IRIS 创建两个本地用户组来授予对实例的访问权限。当为 InterSystems 服务指定一个 Windows 用户帐户而不是默认的本地 SYSTEM 帐户时 IRIS 将该 Windows 用户帐户添加到每个组。这些组是:
-
IRISServices,它授予启动、停止和控制IRIS实例的权限。 -
IRIS_Instance_instancename,授予对安装树的访问权限——IRIS的安装目录及其所有子目录。
注意:这些组可能不会授予 IRIS 执行某些操作所需的所有权限。要确保 IRIS 对安装树之外的所有实例、日志和日志文件具有所需的访问权限,请授予 IRIS_Instance_instancename 组对这些文件和包含它们的目录的完全访问权限。如有必要,还可以授予该组额外的权限。
通常,在安装期间为 <instance-name> 选择 IRIS 控制器的 Windows 帐户,如安装指南的 Windows 用户帐户部分所述。
限制对安装树的访问
默认情况下,任何经过身份验证的 Windows 用户都可以访问安装树,这可能是不可取的。以下命令为经过身份验证的用户删除 Windows 访问控制条目 (ACE):
icacls <install-dir> /remove "NT AUTHORITY\Authenticated Users"
运行此命令后,只有管理员用户或 IRIS_Instance_instancename 组中的用户才能访问安装树。
重要提示:如果不这样做,任何可以登录到主机 Windows 系统的用户都可以轻松地修改文件、更改设置或完全禁用 IRIS 实例。
在某些情况下,除了 IRIS 控制器用于 <instance-name> 服务的帐户之外,可能还希望授予另一个 Windows 帐户访问安装树的权限。例如,这可能包括运行自动化任务的帐户,或直接登录到 Windows 服务器以访问 IRIS 的帐户(通过本地终端会话或调用自定义调用可执行文件)。可以通过将任何此类帐户添加到 IRIS_Instance_instancename 组来为其提供所需的访问权限。
更改 InterSystems 服务帐户
在命令行中输入以下内容以更改用于 IRIS Controller for <instance-name>的Windows 用户帐户:
<install-dir>\bin\IRISinstall.exe setserviceusername <instance-name> <username> <password>
此命令将 Windows 用户帐户更改为指定的帐户。它还将用户添加到 IRISServices 和 IRIS_Instance_instancename 组,并在必要时创建这些组。运行此命令并重新启动 IRIS 实例后,该实例将在新指定的 Windows 用户帐户下运行。
